應(yīng)用場(chǎng)景

假設(shè)企業(yè)A希望讓部分員工處理日常運(yùn)維工作，則企業(yè)A可以創(chuàng)建RAM用戶，并為RAM用戶賦予相應(yīng)權(quán)限，此后員工可以用RAM用戶的身份登錄SAE控制臺(tái)。SAE支持借助RAM用戶實(shí)現(xiàn)分權(quán)分賬，為該賬號(hào)開啟控制臺(tái)登錄權(quán)限。應(yīng)用場(chǎng)景如下：

• 出于安全考慮，企業(yè)A不希望將阿里云賬號(hào)的密鑰直接透露給員工，而希望能給員工創(chuàng)建相應(yīng)的RAM用戶賬號(hào)。

• RAM用戶賬號(hào)只能在被授權(quán)的前提下操作資源，不需要對(duì)其單獨(dú)計(jì)量計(jì)費(fèi)，所有開銷都計(jì)入企業(yè)A的阿里云賬號(hào)名下。

• 企業(yè)A隨時(shí)可以撤銷RAM用戶賬號(hào)的權(quán)限，也可以隨時(shí)刪除其創(chuàng)建的RAM用戶賬號(hào)。

步驟一：創(chuàng)建RAM用戶

1. 使用阿里云賬號(hào)（主賬號(hào)）或RAM管理員登錄RAM控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇身份管理 > 用戶。

3. 在用戶頁面，單擊創(chuàng)建用戶。

4. 在創(chuàng)建用戶頁面的用戶賬號(hào)信息區(qū)域，設(shè)置用戶基本信息。

   • 登錄名稱：可包含英文字母、數(shù)字、半角句號(hào)（.）、短劃線（-）和下劃線（_），最多64個(gè)字符。

   • 顯示名稱：最多包含128個(gè)字符或漢字。

   • 標(biāo)簽：單擊，然后輸入標(biāo)簽鍵和標(biāo)簽值。為RAM用戶綁定標(biāo)簽，便于后續(xù)基于標(biāo)簽的用戶管理。

   說明

   單擊添加用戶，可以批量創(chuàng)建多個(gè)RAM用戶。

5. 在訪問方式區(qū)域，選擇訪問方式，然后設(shè)置對(duì)應(yīng)參數(shù)。

   為了賬號(hào)安全，建議您只選擇以下訪問方式中的一種，將人員用戶和應(yīng)用程序用戶分離，避免混用。

   • 控制臺(tái)訪問

     如果RAM用戶代表人員，建議啟用控制臺(tái)訪問，使用用戶名和登錄密碼訪問阿里云。您需要設(shè)置以下參數(shù)：

     • 控制臺(tái)登錄密碼：選擇自動(dòng)生成密碼或者自定義密碼。自定義登錄密碼時(shí)，密碼必須滿足密碼復(fù)雜度規(guī)則。更多信息，請(qǐng)參見設(shè)置RAM用戶密碼強(qiáng)度。

     • 密碼重置策略：選擇RAM用戶在下次登錄時(shí)是否需要重置密碼。

     • 多因素認(rèn)證（MFA）策略：選擇是否為當(dāng)前RAM用戶啟用MFA。啟用MFA后，主賬號(hào)還需要為RAM用戶綁定MFA設(shè)備或RAM用戶自行綁定MFA設(shè)備。更多信息，請(qǐng)參見為RAM用戶綁定MFA設(shè)備。

   • OpenAPI調(diào)用訪問

     如果RAM用戶代表應(yīng)用程序，建議啟用OpenAPI調(diào)用訪問，使用訪問密鑰（AccessKey）訪問阿里云。啟用后，系統(tǒng)會(huì)自動(dòng)為RAM用戶生成一個(gè)AccessKey ID和AccessKey Secret。更多信息，請(qǐng)參見創(chuàng)建AccessKey。

     重要

     RAM用戶的AccessKey Secret只在創(chuàng)建時(shí)顯示，不支持查看，請(qǐng)妥善保管。

6. 單擊確定。

步驟二：為RAM用戶添加權(quán)限

為RAM用戶授權(quán)后，RAM用戶可以訪問相應(yīng)的阿里云資源。本文以在用戶頁面為RAM用戶授權(quán)的方式為例，操作步驟如下所示。更多方式，請(qǐng)參見為RAM用戶授權(quán)。

1. 使用RAM管理員登錄RAM控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇身份管理 > 用戶。

3. 在用戶頁面，單擊目標(biāo)RAM用戶操作列的添加權(quán)限。

   

   您也可以選中多個(gè)RAM用戶，單擊用戶列表下方的添加權(quán)限，為RAM用戶批量授權(quán)。

4. 在新增授權(quán)面板，為RAM用戶添加權(quán)限。

   1. 選擇資源范圍。

      • 賬號(hào)級(jí)別：權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。

      • 資源組級(jí)別：權(quán)限在指定的資源組內(nèi)生效。

        重要

        指定資源組授權(quán)生效的前提是該云服務(wù)及資源類型已支持資源組，詳情請(qǐng)參見支持資源組的云服務(wù)。資源組授權(quán)示例，請(qǐng)參見使用資源組限制RAM用戶管理指定的ECS實(shí)例。

   2. 選擇授權(quán)主體。

      授權(quán)主體即需要添加權(quán)限的RAM用戶。系統(tǒng)會(huì)自動(dòng)選擇當(dāng)前的RAM用戶。

   3. 選擇權(quán)限策略。

      權(quán)限策略是一組訪問權(quán)限的集合，分為以下兩種。支持批量選中多條權(quán)限策略。

      • 系統(tǒng)策略：由阿里云創(chuàng)建，策略的版本更新由阿里云維護(hù)，用戶只能使用不能修改。更多信息，請(qǐng)參見支持RAM的云服務(wù)。

        說明

        系統(tǒng)會(huì)自動(dòng)標(biāo)識(shí)出高風(fēng)險(xiǎn)系統(tǒng)策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授權(quán)時(shí)，盡量避免授予不必要的高風(fēng)險(xiǎn)權(quán)限策略。

      • 自定義策略：由用戶管理，策略的版本更新由用戶維護(hù)。用戶可以自主創(chuàng)建、更新和刪除自定義策略。更多信息，請(qǐng)參見創(chuàng)建自定義權(quán)限策略。

   4. 單擊確認(rèn)新增授權(quán)。

5. 單擊關(guān)閉。

后續(xù)步驟

企業(yè)A的員工可以通過以下方式，以RAM用戶的身份訪問SAE。

• 方式一：控制臺(tái)。

  1. RAM用戶登錄入口。

  2. 在RAM用戶名密碼登錄頁面，輸入RAM用戶的用戶名，單擊下一步，并輸入用戶密碼，然后單擊登錄。

     說明

     RAM用戶的登錄賬號(hào)格式為<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com，<$AccountAlias>為賬號(hào)別名。如果沒有設(shè)置賬號(hào)別名，則默認(rèn)值為阿里云賬號(hào)的ID。更多信息，請(qǐng)參見RAM用戶登錄阿里云控制臺(tái)。

  3. 在阿里云控制臺(tái)頂部的搜索文本框，輸入并單擊Serverless 應(yīng)用引擎（SAE），即可訪問SAE控制臺(tái)。

• 方式二：調(diào)用API。

  在代碼中使用RAM用戶的AccessKey ID和AccessKey Secret調(diào)用API訪問SAE。